一种结合域名和DNS流量特征的物联网早期恶意流量检测方法

本发明提出了一种结合域名和DNS流量特征的物联网早期恶意流量检测方法，分为四个部分，第一部分为流量抓取和过滤；第二部分为DNS流量信息提取，第三部分为检测模型的训练，第四部分为物联网恶意流量检测，具体内容为提取物联网DNS域名及查询信息等流量特征后，分别利用具有多头注意力机制的长短期记忆模型学习DNS域名特征、利用卷积神经网络提取DNS流量特征，在恶意流量发生早期进行检测。本发明提出的方法能够快速、高效地在早期检测出物联网恶意流量，识别准确率达到了98％，并且模型训练时间和检测时间短。在早期恶意流量检测的方法便于网络管理者快速响应和保护物联网设备。